Il consenso al trattamento di dati personali svolto mediante algoritmi è validamente prestato soltanto se l’interessato è informato sullo schema esecutivo dell’algoritmo e sugli elementi di cui esso si compone.

Di Jacopo Purificati

Il consenso libero, specifico, informato, inequivocabile

Da sempre primaria base di legittimità per il trattamento di dati personali, il consenso dell’interessato è stato negli anni oggetto di numerose interpretazioni, in particolare sui requisiti che lo compongono e sulle situazioni pratiche che potrebbero renderlo invalidamente prestato.

Sotto tale aspetto, un punto nevralgico riguarda le situazioni di squilibrio di potere tra interessato e titolare del trattamento. Ipotesi piuttosto comuni di squilibrio di potere possono essere i rapporti tra cittadini e pubbliche autorità, oppure tra dipendenti e datori di lavoro: situazioni in cui la parte “debole” potrebbe fornire un consenso non libero pur di evitare possibili ripercussioni negative in caso di rifiuto.

Tuttavia, le situazioni odierne in cui il consenso potrebbe non formarsi liberamente attengono più che altro alla società dell’informazione, alle nuove tecnologie e, di conseguenza, a squilibri di informazione tra le parti (c.d. asimmetrie informative). Questa disparità tra interessati e titolari è quasi “fisiologica”, giacché i secondi determinano i mezzi e le finalità del trattamento e quindi predispongono le specifiche del trattamento sin dall’inizio. Per tale ragione, le normative in vigore obbligano i titolari a informare adeguatamente gli interessati, ma non sempre questi ultimi potrebbero avere il tempo o le conoscenze necessarie per comprendere, fino in fondo, a cosa stanno acconsentendo.

Del resto, sul tema specifico è intervenuto in più occasioni il Comitato Europeo per la Protezione dei Dati, da ultimo con le Linee Guida 05/2020 sul consenso. In questo documento, il Comitato condanna le pratiche online di ottenimento del consenso che scaturiscono proprio dalle citate asimmetrie informative, soprattutto in riferimento all’impiego di cookie. Si aggiunga che, come rilevato dal Comitato, i tempi e i modi della società dell’informazione non aiutano a risolvere le disparità: ogni giorno gli utenti della Rete sono costretti a leggere e ad accettare una miriade di informative privacy e cookie, e ciò abbassa fortemente la loro attenzione verso tali tematiche (c.d. clicking fatigue o “affaticamento da click”).

Il quadro si complica fortemente ove le tecnologie impiegate siano più complesse e particolari di un cookie, come nel caso di algoritmi e intelligenza artificiale. A tali emergenze risponde solo in parte l’art. 22 del GDPR, che conferisce agli interessati il diritto di non essere sottoposti a un processo decisionale completamente automatizzato (ossia senza intervento umano) che produca effetti significativi su di loro. Sennonché, una delle eccezioni a tale diritto si configura proprio laddove l’interessato fornisca il proprio consenso esplicito a tale trattamento, con il rischio di una forte asimmetria informativa. Impiegare algoritmi e intelligenza artificiale nel trattamento di dati personali, infatti, pone le persone fisiche di fronte all’onere di capire, spesso senza averne le competenze, il funzionamento e l’operato di una macchina deputata ad agire al posto di un essere umano.

Il provvedimento del Garante e la pronuncia del Tribunale

Oggetto del caso in esame è l’operato di una onlus, la quale, attraverso una piattaforma e un archivio informatici, aveva organizzato un sistema di valutazione di profili reputazionali riguardanti persone fisiche o giuridiche (c.d. rating reputazionale). Tale sistema di calcolo poneva alla sua base un algoritmo finalizzato a stabilire punteggi di affidabilità. Gli utenti della piattaforma erano informati sul trattamento di dati personali in essere ed era loro richiesto di prestare il consenso.

Nel novembre 2016, però, l’Autorità Garante per la protezione dei dati personali faceva applicazione dei suoi poteri correttivi (al tempo previsti dall’art. 154 del Codice Privacy, oggi dall’art. 58 del GDPR) nei confronti della onlus, vietandole di proseguire il trattamento di dati personali condotto attraverso il suddetto sistema di valutazione. Il divieto si fondava sull’asserita violazione, da parte del titolare, di una serie di disposizioni del “vecchio” Codice Privacy, tra cui l’art. 11 che sanciva i principi generali (come quelli di liceità e correttezza) e l’inutilizzabilità dei dati trattati in violazione della disciplina, nonché gli artt. 23 e 24 relativi al consenso e altre cause di liceità dei trattamenti.

La onlus titolare del trattamento inibito ricorreva quindi al Tribunale di Roma per ottenere l’annullamento del provvedimento di divieto. Il Garante resisteva, fondando le proprie ragioni sull’assenza, nel trattamento in oggetto, di una idonea cornice normativa in forza dei principi di liceità e correttezza di cui all’art. 11, lett. a) Codice Privacy (oggi art. 5, par. 1 lett. a) del GDPR) e quindi ribadendo l’illiceità della piattaforma impiegata.

Pur ritenendo che il sistema potesse incidere pesantemente sulla rappresentazione economica e sociale di un’ampia categoria di soggetti, con ripercussioni sulla vita privata degli individui censiti, il Tribunale di Roma non riteneva condivisibili i rilievi del Garante. Le motivazioni di tale dissenso erano sostanzialmente riposte nei principi di libertà contrattuale, propri dell’autonomia privata. Nelle parole del Tribunale, non avrebbe potuto negarsi all’autonomia privata la facoltà di organizzare sistemi di accreditamento di soggetti, fornendo servizi in senso lato “valutativi”, in vista del loro ingresso nel mercato, per la conclusione di contratti e per la gestione di rapporti economici. Di conseguenza, il Tribunale accoglieva parzialmente il ricorso, annullando quasi del tutto il provvedimento di divieto, salvo per un’attività specifica riguardante soggetti terzi non associati alla onlus.

L’ordinanza della Corte di Cassazione

Nel 2018, il Garante ha proposto ricorso per cassazione sulla base di sette motivi, e lamentando in particolare l’omesso esame circa un fatto decisivo per la controversia. Secondo l’Autorità, infatti, il Tribunale non aveva esaminato la pur dedotta inconoscibilità dell’algoritmo utilizzato per il rating, che si traduce in un vizio di trasparenza e quindi del consenso prestato. Altro motivo di ricorso importante era quello relativo alla violazione / falsa applicazione delle norme del Codice Privacy, del GDPR (appena entrato in vigore al tempo del ricorso per cassazione), nonché dell’art. 8 della Carta dei diritti fondamentali dell’Unione europea (Carta di Nizza), sul diritto alla protezione dei dati di carattere personale e sul trattamento degli stessi secondo lealtà, per finalità determinate e in base al consenso dell’interessato.

La Corte di Cassazione ha accolto i primi quattro motivi di ricorso e assorbito i restanti. Il Tribunale di Roma, infatti, aveva giudicato legittimo il trattamento poiché fondato sul consenso prestato dagli interessati, peraltro ritenendo che i sistemi di rating fossero oggetto di una conoscenza diffusa sul mercato. Richiamando alcuni precedenti (Cass. 17278/18 e 16358/18) la Corte ha però ribadito che il consenso deve essere validamente prestato, come sosteneva l’art. 23 lett. c) del Codice Privacy, “in riferimento a un trattamento chiaramente individuato”.

Riguardo l’informativa fornita agli interessati, il Tribunale avrebbe dovuto compiere una valutazione di tutto ciò che fosse in grado di incidere sulla serietà della manifestazione del consenso, come gli elementi implicati e considerati nell’algoritmo, essenziali al calcolo del rating. Pur non avendo disconosciuto la scarsa trasparenza, il Tribunale non l’aveva ritenuta decisiva, sul rilievo che spetterebbe al mercato “stabilire l’efficacia e la bontà del risultato ovvero del servizio prestato dalla piattaforma”.

La Corte, tuttavia, ha ribadito che il fulcro della questione non è né la libertà contrattuale né la capacità del “mercato” di giudicare l’affidabilità di un simile sistema, bensì la trasparenza stessa delle operazioni di trattamento a cui l’interessato acconsente. Dall’adesione a una piattaforma non può desumersi automaticamente l’accettazione di un sistema che si avvale di un algoritmo per la valutazione oggettiva di dati personali. Ciò è tanto più vero laddove non siano resi conoscibili lo schema esecutivo di funzionamento dell’algoritmo e gli elementi che lo caratterizzano.

Per tali motivi, la Sezione I Civile ha ordinato la cassazione con rinvio al Tribunale di Roma, che dovrà conformarsi al seguente principio di diritto.

«In tema di trattamento di dati personali, il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento a un trattamento chiaramente individuato; ne segue che nel caso di una piattaforma web (con annesso archivio informatico) preordinata all’elaborazione di profili reputazionali di singole persone fisiche o giuridiche, incentrata su un sistema di calcolo con alla base un algoritmo finalizzato a stabilire i punteggi di affidabilità, il requisito della consapevolezza non può considerarsi soddisfatto ove lo schema esecutivo dell’algoritmo e gli elementi di cui si compone restino ignoti o non conoscibili da parte degli interessati».

Conclusioni

Ancora una volta, la “partita” della protezione dei dati personali si gioca sul terreno dell’innovazione tecnologica e dell’utilità dei meccanismi che la compongono. A riguardo, il nostro paese può da sempre vantare posizioni lungimiranti sia da parte del Garante sia ad opera delle Corti apicali, che spesso hanno anticipato il legislatore e la giurisprudenza europei.

L’ordinanza della Suprema Corte di cui sopra è la dimostrazione di tale assunto, se si considerano le previsioni della bozza di Regolamento sull’intelligenza artificiale recentemente proposta dalla Commissione europea. Infatti, l’art. 4 di tale documento proibirebbe, inter alia, i “sistemi di intelligenza artificiale utilizzati per il social scoring di persone fisiche”, ossia per la valutazione o classificazione su larga scala dell’affidabilità degli individui in base al loro comportamento o personalità, che possa condurre a trattamenti pregiudizievoli. Ma soprattutto, l’art. 10 imporrebbe di fornire agli utenti un elenco tassativo di informazioni “pertinenti, accessibili e comprensibili” sui sistemi di intelligenza artificiale, che siano “concise, chiare e, per quanto possibile, non tecniche”.

Se è dunque vero che si può contare su di un legislatore attento e sul solerte operato di autorità giudiziarie e di controllo, nondimeno spetta a ognuno di noi interessarsi delle tematiche in oggetto e informarsi sui meccanismi che incidono, sempre di più, sul diritto all’autodeterminazione degli individui.

Author Jacopo Purificati

More posts by Jacopo Purificati